Las políticas de seguridad en una organización son el conjunto de normas, procedimientos y medidas que se establecen para proteger los activos tangibles e intangibles de una organización, frente a amenazas internas y externas. Estas políticas tienen como objetivo, por ejemplo, garantizar la confidencialidad, la integridad y la disponibilidad de la información, así como prevenir y mitigar los riesgos asociados a su uso, tratamiento y almacenamiento.
Un ejemplo de política de seguridad es el uso de contraseñas seguras y únicas para acceder a los sistemas informáticos de la organización, que deben cambiarse periódicamente y no compartirse con nadie. Otro ejemplo es el cifrado de los datos sensibles que se transmiten o almacenan en dispositivos móviles o en la nube, para evitar que sean interceptados o hurtados por terceros. Un tercer ejemplo es la realización de copias de seguridad periódicas de la información crítica, que deben almacenarse en lugares seguros y accesibles solo para el personal autorizado.
Las políticas de seguridad en una organización deben ser detalladas y amplias, abarcando todos los aspectos relacionados con la gestión de los recursos. Además, deben ser comunicadas, difundidas y aplicadas por todos los miembros de la organización, desde los directivos hasta los empleados. Asimismo, deben ser revisadas y actualizadas con frecuencia, para adaptarse a los cambios tecnológicos y a las nuevas amenazas que puedan surgir.
La relevancia de disponer de políticas de seguridad radica en que permiten:
- Prevenir y mitigar los riesgos asociados a la pérdida, el robo, el daño o el uso indebido de activos, lo que puede afectar la reputación, la confianza y la competitividad de la organización.
- Garantizar el cumplimiento de las leyes, los reglamentos y los estándares vigentes en materia de seguridad, lo que puede evitar sanciones legales, económicas o administrativas.
- Asegurar la continuidad del negocio ante posibles incidentes o desastres que puedan interrumpir o afectar el funcionamiento normal de la organización.
- Mejorar la eficiencia y la calidad de los procesos, los servicios y los productos de la organización, al optimizar el uso y el aprovechamiento de los recursos disponibles.
- Fomentar una cultura de seguridad entre los empleados, los clientes, los proveedores y los socios de la organización, al establecer roles, responsabilidades y buenas prácticas en el manejo de activos.
Las políticas de seguridad también aportan a la rentabilidad de la organización, ya que al reducir los riesgos y los incidentes se optimiza el uso de los recursos, se mejora la productividad y la calidad, se incrementa la satisfacción y la fidelidad de los clientes y se genera confianza y credibilidad en el mercado.
Algunos ejemplos internacionales de organizaciones que han implementado en este caso políticas de seguridad de la información son:
Microsoft: La empresa tecnológica cuenta con un marco de seguridad integral que abarca desde la gestión de identidades y el control de accesos hasta la protección contra el malware y el cifrado de datos. Así, asegura la seguridad de sus productos, servicios y operaciones, la de sus clientes y socios. Microsoft también ofrece soluciones de seguridad para otras organizaciones, como Azure Security Center o Microsoft 365 Defender.
Coca-Cola: La multinacional de bebidas dispone de un programa global de seguridad de la información que se basa en los estándares internacionales ISO 27001 e ISO 27002. El programa define las políticas, los roles y las actividades que deben cumplir todos los empleados y proveedores para proteger la información corporativa y comercial. Coca-Cola también realiza auditorías periódicas para verificar el cumplimiento de las políticas y mejorar continuamente su nivel de seguridad.
Amazon: La compañía de comercio electrónico tiene una política de seguridad que se enfoca en la protección de los datos personales y financieros de sus clientes, así como en la prevención del fraude y el abuso. Amazon utiliza tecnologías avanzadas como el aprendizaje automático, el análisis de comportamiento y el reconocimiento facial para detectar y bloquear actividades sospechosas o maliciosas. Amazon también ofrece servicios de seguridad para otras organizaciones, como AWS Shield o Amazon Macie.
Los factores claves de éxito para la elaboración e implementación de políticas de seguridad en una organización son:
- La definición clara de los objetivos, alcances y responsabilidades de las políticas de seguridad, así como de los roles y funciones de los actores involucrados.
- La participación y el compromiso de la alta dirección, los líderes y los empleados de la organización en el proceso de diseño, aprobación, difusión y cumplimiento de las políticas de seguridad.
- La realización de un diagnóstico inicial de la situación actual de la seguridad y los riesgos asociados, que permita identificar las necesidades, las brechas y las oportunidades de mejora.
- La selección y aplicación de una metodología adecuada para la gestión de la seguridad, que contemple las mejores prácticas y estándares internacionales, como, por ejemplo: ISO 27001, ISO31000, IS018788, ISO45000, entre otras.
- La definición e implementación de un plan de acción que establezca las actividades, los recursos, los plazos y los indicadores para el desarrollo y la evaluación de las políticas de seguridad.
- La comunicación efectiva y la capacitación continua a todos los niveles de la organización sobre la importancia, el contenido y el cumplimiento de las políticas de seguridad.
- La revisión periódica y la actualización constante de las políticas de seguridad, en función del contexto interno y externo, así como del monitoreo y la retroalimentación del desempeño.
Los errores más comunes en la elaboración e implementación de políticas de seguridad en una organización son:
- No realizar un análisis de riesgos previo que identifique las amenazas, vulnerabilidades y activos más críticos de la organización, así como el impacto potencial de un incidente de seguridad.
- No contar con el apoyo y compromiso de la alta dirección, que debe liderar y respaldar las iniciativas de seguridad, asignar los recursos necesarios y fomentar una cultura de seguridad entre los empleados.
- No definir claramente los objetivos, alcance, roles y responsabilidades de las políticas de seguridad, así como los mecanismos de seguimiento, evaluación y mejora continua.
- No comunicar, difundir y capacitar adecuadamente a los usuarios sobre las políticas de seguridad, sus beneficios y obligaciones, así como las consecuencias de su incumplimiento.
- No adaptar las políticas de seguridad a las características, necesidades y contexto específico de la organización, sino adoptar soluciones genéricas o estándares que no se ajusten a su realidad.
- No revisar y actualizar periódicamente las políticas de seguridad, teniendo en cuenta los cambios internos y externos que puedan afectar a la organización, así como las lecciones aprendidas de los incidentes ocurridos.
En conclusión, las políticas de seguridad son un elemento clave para el éxito de cualquier organización. Por lo tanto, se recomienda que las organizaciones implementen y mantengan políticas adecuadas a sus necesidades y objetivos, así como que capaciten y sensibilicen a sus colaboradores sobre la importancia de la seguridad. De esta manera, se podrá crear una cultura que fomente la confianza, la responsabilidad y el compromiso de todos los involucrados.
Alfredo Yuncoza.
Presidente del Hispanic Advisory Board. IFPO